Auditoria Informatica-municipalidad Moquegua (1)
-
Upload
cielo-c-arias -
Category
Documents
-
view
213 -
download
0
Transcript of Auditoria Informatica-municipalidad Moquegua (1)
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
1/73
AUDITORIA DE SISTEMAS DE LA UAD- MAJESAREA FISICA
Alcance de la Auditoria
o Organizacin de Seguridad de la aprte fisica del area de sistemas de la UAD Majes.
o Planes y procedimientos.
o Sistemas tcnicos de Seguridad y Proteccin.
Objetivos
o Reisin de las pol!ticas y "ormas so#re seguridad $!sica de la UAD Majes.
o %erificar la seguridad de personal& datos& 'ard(are& soft(are e instalaciones
o Seguridad& utilidad& confianza& priacidad y disponi#ilidad en el am#iente inform)tico
RE!U"TA S "O "#A*.+Se 'an adoptado medidas de seguridad en el departamento de sistemas de
informacin,$
-.+/iste una persona responsa#le de la seguridad, $
0.+Se 'a diidido la responsa#ilidad para tener un mejor control de la seguridad, $
1.+/iste personal de igilancia en la institucin, $
2. +/iste igilancia en el departamento de cmputo las -1 'oras, $
3. +l centro de cmputo tiene salida al e/terior, $4. +Son controladas las isitas y demostraciones en el centro de cmputo, $
5. +Se registra el acceso al departamento de cmputo de personas ajenas a ladireccin de inform)tica,
$
6. +Se 'a adiestrado el personal en el manejo de los e/tintores, $
*7. +Se reisa de acuerdo con el proeedor el funcionamiento de los e/tintores. $**. +Sa#en 8ue 'acer los operadores del departamento de cmputo& en caso de
8ue ocurra una emergencia ocasionado por fuego,$
*-. +/iste salida de emergencia, $*0. +Se 'a pro'i#ido a los operadores el consumo de alimentos y #e#idas en elinterior del departamento de cmputo para eitar da9os al e8uipo,
$
*1. +Se limpia con frecuencia el polo acumulado,$
*2. +/iste departamento de auditoria interna en la institucin, $
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
2/73
AREA FISICA
ara %allar el SI
*2 *77:3 ;
$ & '()
ara %allar el "O
*2 *77:6 ;
$ & *()
LISTADO DE +ERIFICACI," DEL AREA FISICA
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
3/73
An4lisis de la deli5itaci6n la 5anera en 7ue se cu58len9
(()E.celente
/()0ueno
*()Re1ular
'()M2ni5o
3()"o cu58le
=a delimitacin espacial&
por las dimensionesf!sicas.=a delimitacin tecnolgica&
por los re8uerimientos yconocimientos inform)ticos.
Evaluaci6n del dise:o se1;n el a5biente del centro de co58uto
(()E.celen
/()0ueno
*()Re1ular
'()M2ni5o
3()"o cu58le
An)lisis del am#iente
aluar elfuncionamiento de lose ui osl local para el tra#ajo es
=os e8uipos cuentan conentilacin
=a iluminacin
An4lisis de la se1uridad
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
4/73
I"FORME DE AUDITORIA
= Identimplantar salidas de emergencia.
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
5/73
la#orar un calendario de mantenimiento de rutina peridico.
?apacitar al personal.
= Fec%a Del In"BO C?U?>O" >"$ORM
$?A
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
6/73
AREA OFIMATICA
Alcance de la Auditoria=-
o Planes y procedimientos
o Pol!ticas de Mantenimiento
o ?apacitacin del Personal
Objetivos de la Auditoria=-
Realizar un informe de Auditoria con el o#jeto de erificar la e/istencia de controles preentios&
detectios y correctios& as! como el cumplimiento de los mismos por los usuarios.
RE!U"T SI "O "#A
*. +/iste un informe tcnico en el 8ue se justifi8ue laad8uisicin del e8uipo& soft(are y sericios de
computacin& incluyendo un estudio costoE
#eneficio,
-. +Se 'a asegurado un respaldo de mantenimiento y
asistencia tcnica,
0. +l acceso al centro de cmputo cuenta con las
seguridades necesarias,
1. +Bodas las actiidades del ?entro de ?omputo asi
como el uso de sistemas est)n normadas mediante
manuales& instructios& normas& reglamentos& etc.,
2. +=as instalaciones cuentan con sistema de alarma por
presencia de fuego& 'umo& as! como e/tintores de
incendio& cone/iones elctricas seguras& entre
3. +Se 'an instalado e8uipos 8ue protejan la
informacin y los dispositios en caso de ariacin
de oltaje comoF reguladores de oltaje& supresores
pico& UPS& generadores de energ!a,
4. +Se mantiene programas y procedimientos de
deteccin e inmunizacin de irus en copias no
autorizadas o datos procesados en otros e8uipos,
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
7/73
AREA DE OFIMTICA=-
ara %allar el SI
4 *77:2 ;
$ & B='>)
ara %allar el "O
4 *77:- ;
$ & 3/=?B)
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
8/73
I"FORME DE AUDITORIA
= Identinformacin& de#en estar sustentados
en Pol!ticas& Procedimientos& Reglamentos y "ormatiidad en
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
9/73
o l Departamento de centro de cmputo presenta deficiencias so#re el de#ido cumplimiento de
"ormas de seguridad.
o =a escasez de personal de#idamente capacitado.
/= Reco5endacioneso Un de manual de funciones para cada puesto de tra#ajo dentro del )rea.
o la#orar un calendario de mantenimiento de rutina peridico .
o ?apacitar al personal.
= Fec%a Del InO" >"$ORM
$?A
(= IdentiDOS @ "OMRS ?ARBOR SUPR>OR
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
10/73
AREA DE ERSO"AL
Alcance de la Auditoria
o aluacin del personal y co'erencia de cargos de la propia institucin.
o "ormas y Procedimientos del )rea de inform)tica
Objetivos
Realizar un informe de Auditoria con el o#jeto de erificar la adecuacin de las funciones 8ue siren de
apoyo a las tecnolog!as de la informacin.
RE!U"TAS SI " "#
*. +e/iste personal capacitado para utilizer los sistemas de la UniersidadAlas Peruanas UAD Majes,
-. +tienen manuales todas los sistemas utilizados,
0. +/iste un responsi#le en caso de falla,1. +/iste un registro de anomal!as en la informacin de#ido a mala
codificacin,
2. +e/iste par)metros de control,
3. +Reci#en capacitaciones periodicas para el uso de sistemas de laUADE Majes,
Auditoria E.8lotaci6n9
ara %allar el SI
3 *77:
- ;
$ & >>=>)
ara %allar el "O
2 *77:0 ;
$ & **=B)
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
11/73
I"FORME DE AUDITORIA
= Identinform)tica de acuerdo a las normas y dem)s disposiciones aplica#le al efecto.
B= Conclusiones9
G ?omo resultado de la Auditoria de la Seguridad realizada al Municipio& por el per!odo
comprendido entre el 7* de Setiem#re al -1 de Diciem#re del -771& podemos
manifestar 8ue 'emos cumplido con ealuar cada uno de los o#jetios contenidos en el
programa de auditoria.
G l )rea de >nform)tica presenta deficiencias so#re todo en el de#ido cumplimiento de
sus funciones y por la falta de ellos.
/= Reco5endaciones
De#er)n realizarse muestreos selectios de la Documentacin de las Aplicaciones
e/plotadas
Asignar un responsa#le del ?entro de ?mputos en cada turno de tra#ajo.
?rear y 'acer uso de manuales de operacin.
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
12/73
Realizar funciones de operacin& programacin y dise9o de sistemas de#en estar
claramente delimitadas.
= Fec%a Del In
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
13/73
13AUDITORIA DE SISTEMAS
AUDITORIA DEL MA"TE"IMIE"TO
Alcance de la Auditoria=-
Planes y procedimientos de Mantenimiento
"ormatia
= Objetivos de la Auditoria=-
Realizar un informe de Auditoria con el o#jeto de ealuar el mantenimiento correctio y
preentio del soft(are.
-. ReSOH>? *--74
> *741
> *-*6
>SOH>? *1431
RE!U"T SI "O "#A
*. /iste un contrato de mantenimiento.
-. +/iste un programa de mantenimiento preentio para cada
dispositio del sistema de cmputo,
0. +Se llea a ca#o tal programa,
1. +/isten tiempos de respuesta y de
compostura estipulados en los contratos,
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
14/73
2. Si los tiempos de reparacin son superiores a los estipulados en
el contrato& +Iu acciones correctias se toman para ajustarlos
a lo conenido,
3. +/iste plan de mantenimiento preentio. ,
4. +ste plan es proporcionado por el proeedor,
5. +Se notifican las fallas,
6. +Se les da seguimiento,
*7. +Biene un plan log!stico para dar soporte al producto soft(are,
**. +=os re8uerimientos de manteni#ilidad se incluyen en la
Actiidad de >niciacin durante el Proceso de Ad8uisicin J>SO
*--74K y se ealLa durante el Proceso de Desarrollo,
*-. +=as ariaciones en el dise9o son superisadas durante el
desarrollo para esta#lecer su impacto so#re la manteni#ilidad,
*0. +Se realizan arios tipos de medidas para poder estimar la
calidad del soft(are,
*1. +=a manteni#ilidad se tiene en cuenta antes de empezar a
desarrollar,
*2. +l desarrollador prepara un Plan de Manteni#ilidad 8ue
esta#lece pr)cticas espec!ficas de manteni#ilidad& as! como
recursos y secuencias releantes de actiidades,
*3. +Durante el an)lisis de re8uerimientos& los siguientes aspectos
8ue afectan a la manteni#ilidad& son tomados en cuenta,
>dentificacin y definicin de funciones& especialmente
las opcionales.
/actitud y organizacin lgica de los datos.
=os >nterfaces Jde m)8uina y de usuarioK.
Re8uerimientos de rendimiento.
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
15/73
Re8uerimientos impuestos por elentorno
JpresupuestoK.
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
16/73
si fuese necesario,
--. l Plan de Mantenimiento es preparado por el mantenedor
durante el desarrollo del soft(are.
-0. +=os elementos soft(are reflejan la documentacin de dise9o,
-1. +=os productos soft(are fueron suficientemente pro#ados y
sus especificaciones cumplidas,
-2. +=os informes de prue#as son correctos y las discrepancias
entre resultados actuales y esperados 'an sido resueltas,
-3. +=a documentacin de usuario cumple los est)ndares
especificados,
-4. +=os costes
esta#lecidos
y calendarios
se
ajustan
a los
planes
Auditoria Manteni5iento9
ara %allar el SI
-2 *77:
*5 ;
$ & B3
ara %allar el "O
-2 *77:4 ;
$ & 3/
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
17/73
I"FORME DE AUDITORIA
= Identi
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
18/73
%ariaciones en la calidad del producto entregado al usuario final.
Pro#lemas entre el personal.
Uso de metodolog!as para nueos desarrollos& pero ausencia de ellas para el
mantenimiento. Bendencia a la desestructuracin
Dificultad progresia de modificacin
$alta de presupuesto
$alta de personal
$alta de apoyo de la Direccin
*= Alcance de la auditoria
"uestra auditoria& comprende el presente periodo -771 y se 'a realizado especialmente al
)rea de >nform)tica de acuerdo a las normas y dem)s disposiciones aplica#le al efecto.
B= Conclusiones9
?omo resultado de la Auditoria del Mantenimiento realizada al Municipio& por el
per!odo comprendido entre el 7* de Setiem#re al -1 de Diciem#re del -771& podemosmanifestar 8ue 'emos cumplido con ealuar cada uno de los o#jetios contenidos en el
programa de auditoria.
l )rea de >nform)tica presenta deficiencias so#re todo en el de#ido cumplimiento de
sus funciones y por la falta de ellos.
/= Reco5endaciones
Modificacin de un producto soft(are& o de ciertos componentes& usando para elan)lisis del sistema e/istente tcnicas de >ngenier!a >nersa y& para la etapa
de reconstruccin& 'erramientas de >ngenier!a Directa& de tal manera 8ue se oriente
este cam#io 'acia mayores nieles de facilidad en cuanto a mantenimiento&
reutilizacin& comprensin o eolucin.
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
19/73
?ategorizar los tipos de mantenimiento del soft(are y para cada tipo planificar lasactiidades y tareas a realizar.
la#orar un procedimiento organizado para realizar la migracin de un
producto soft(are desde un entorno operatio antiguo a otro nueo.
sta#lecer un acuerdo o contrato de mantenimiento entre el mantenedor y el clientey las o#ligaciones de cada uno estos.
la#orar un plan de mantenimiento 8ue incluya el alcance del mantenimiento&
8uin lo realizar)& una estimacin de los costes y un an)lisis de los recursos necesarios.
= Fec%a Del In
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
20/73
AUDITORIA DE 0ASE DE DATOS
= Alcance de la auditoria9
sta auditoria comprende solamente al )rea de cetro de computo de la municipalidad de
mariscal nieto& con respecto al cumplimiento del proceso QDe
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
21/73
4. =a interfaz 8ue e/iste entre el S
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
22/73
-1. De acuerdo con los tiempos de utilizacin de cada dispositio
del sistema de cmputo& +e/iste e8uipo capaces 8ue soportar eltra#ajo,
-2. +l S
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
23/73
I"FORME DE AUDITORIA
= Identi
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
24/73
=a gerencia de ase de datos no tiene un plan 8ue permite modificar en forma
oportuna el plan a largo plazo de tecnolog!a& teniendo en cuenta los posi#les
cam#ios tecnolgicos y el incremento de la #ase de datos..
"o e/iste un calendario de mantenimiento de rutina peridico del soft(are definidopor la ase de datos.
*= Alcance de la auditoria
"uestra auditoria& comprende el presente periodo -771 y se 'a realizado especialmente al
Departamento de centro de cmputo de acuerdo a las normas y dem)s disposiciones
aplica#le al efecto.
B= Conclusiones9
?omo resultado de la Auditoria podemos manifestar 8ue 'emos cumplido con ealuar
cada uno de los o#jetios contenidos en el programa de auditoria.
l Departamento de centro de cmputo presenta deficiencias so#re todo en el de#ido
cumplimiento de "ormas de seguridad de datos y administracin de la ase de Datos.
/= Reco5endaciones
la#orar toda la documentacin lgica correspondiente a los sistemas de administracin
de la D. aluar e implementar un soft(are 8ue permita mantener el resguardo de
acceso de los arc'ios de programas y aLn de los programadores.
>mplementar la relaciones con las diferentes )reas en cuanto al compartimiento de
arc'ios permitidos por las normas
la#orar un calendario de mantenimiento de rutina peridico . ?apacitar al personal al manejo de la D.
Dar a conocer la importancia del S
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
25/73
= Fec%a Del In ?UB>PA T>=@ AUD>BOR SUPR>OR
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
26/73
AUDITORIA DE CALIDAD
Objetivos9
%erificar los procesos aplica#les del programa de la calidad 'an sido desarrollados y
documentados.
aluar la capacidad de realizar un tra#ajo especifico.
SI "O
"#A
+Se reflejan el soft(are codificado tal como en el dise9o en la
documentacin,$
+$ueron pro#ados con /ito los productos de soft(are usados en el
centro de computo, $
+Se cumplen las especificaciones de la documentacin del usuario delsoft(are,
$
+=os procesos de gestin administratia aplicados en el )rea de
inform)tica de la institucin son lo suficientemente ptimos,$
+l funcionamiento del soft(are dentro del )rea de tra#ajo
$
+=os documentos de gestin administratia secumplen satisfactoriamente en el )rea de computo,
$
+=os productos de soft(are 8ue utilizan en el )rea de inform)tica estade acuerdo con los est)ndares esta#lecidos,$
+=os dispositios de tra#ajo en el )rea de inform)tica se les $
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
27/73
realizan una reisin tcnica correcta,
+=os costos fijados en la reisin tcnica se encuentran dentro de los
l!mites fijados,$
Auditoria Calidad9
ara %allar el SI
6 *77:
2 ;
$ & ??=?
ara %allar el "O
6 *77:1 ;; ''='
I"FORME DE AUDITORIA
= Identi
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
28/73
?= Alcance de la auditoria
"uestra auditoria& comprende el presente periodo -771 y se 'a realizado especialmente al
Departamento de centro de cmputo de acuerdo a las normas y dem)s disposicionesaplica#le al efecto.
*= Conclusiones9
l Departamento de centro de cmputo presenta deficiencias so#re todo en el de#ido
cumplimiento de "ormas de seguridad de datos y administracin de la ase de Datos
con respecto a calidad.
B= Fec%a Del In ?UB>PA T>=@ AUD>BOR SUPR>OR
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
29/73
AUDITORIA DE LA SE!URIDAD
= Alcance de la Auditoria=-
Organizacin y calificacin del personal
Planes y procedimientos
Sistemas tcnicos de deteccin y comunicacin
An)lisis de puestos
Mantenimiento
"ormatia
3= Objetivos de la Auditoria=-
Realizar un informe de Auditoria con el o#jeto de erificar la adecuacin de las medidas
aplicadas a las amenazas definidas& as! como el cumplimiento de los re8uisitos e/igidos.
0. Re
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
30/73
AUDITORIA LO!ICA
RE!U"T S " "#
*. +/isten medidas& controles& procedimientos& normasy est)ndares de seguridad,
-. +/iste un documento donde este especificado la relacin de las
funciones y o#ligaciones del personal,
0. +/isten procedimientos de notificacin y gestin
de incidencias,
1. +/isten procedimientos de realizacin de copias de seguridad y de
recuperacin de datos,
2. +/iste una relacin del personal autorizado a conceder& alterar o
anular el acceso so#re datos y recursos,
3. +/iste una relacin de controles peridicos a realizar para erificar el
cumplimiento del documento,
4. +/isten medidas a adoptar cuando un soporte aya a ser desec'ado o
reutilizado,
5. +/iste una relacin del personal autorizado a acceder a los locales
donde se encuentren u#icados los sistemas 8ue tratan datos
personales,
6. +/iste una relacin de personal autorizado a acceder a los soportes de
datos,
*7. +/iste un per!odo m)/imo de ida de las contrase9as,
**. +/iste una relacin de usuarios autorizados a acceder a los sistemas
y 8ue incluye los tipos de acceso permitidos,
*-. +=os derec'os de acceso concedidos a los usuarios son los necesarios
y suficientes para el ejercicio de las funciones 8ue tienen
encomendadas& las cuales a su ez se encuentran o de#en estarE
documentadas en el Documento de Seguridad,
*0. +ay dadas de alta en el sistema cuentas de usuario genricas& es
decir& utilizadas por m)s de una persona& no permitiendo por
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
31/73
tanto la identificacin de la persona f!sica 8ue las 'a utilizado,
*1. +n la pr)ctica las personas 8ue tienen atri#uciones y priilegios
dentro del sistema para conceder derec'os de acceso son las
autorizadas e incluidas en el Documento de Seguridad,
*2. +l sistema de autenticacin de usuarios guarda las contrase9as
encriptadas,
*3. +n el sistema est)n 'a#ilitadas para todas las cuentas de usuario las
opciones 8ue permiten esta#lecerF
Un nLmero m)/imo de intentos de cone/in.
Un per!odo m)/imo de igencia para la contrase9a& coincidente
con el esta#lecido en el Documento de Seguridad.
*4. +/isten
de
asignacin
y distri#ucin
de
AUDITORIA FISICA
PR
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
32/73
seguridad tienen acceso a los soportes 8ue contienen las copias de
seguridad,
4. +=as copias de seguridad de fic'eros de niel alto incluyen los fic'eros
cifrados& si estas copias se transportan fuera de las instalaciones,
5. +=as copias de seguridad de los fic'eros de niel alto se almacenan en
lugar diferente al de los e8uipos 8ue las procesan,
g
6. +/iste un inentario de los soportes e/istentes,
*7. +Dic'o inentario incluye las copias de seguridad,
**. +=as copias de seguridad& o cual8uier otro soporte& se almacenan
fuera de la instalacin,
*-. +/isten procedimientos de actualizacin de dic'o inentario,
*0. +/isten procedimientos de eti8uetado e identificacin del contenido
de los soportes,
*1. +/isten procedimientos en relacin con la salida de soportes fuera de
su almacenamiento 'a#itual,
*2. +Se ealLan los est)ndares de distri#ucin y en!o de estos soportes,
*3. +Se O#tiene una relacin de los fic'eros 8ue se en!an fuera de la
empresa& en la 8ue se especifi8ue el tipo de soporte& la forma de
en!o& el estamento 8ue realiza el en!o y el destinatario,
*4. +Se ?omprue#a 8ue todos los soportes incluidos en esa relacin se
encuentran tam#in en el inentario de soportes mencionado
anteriormente,
*5. +Se O#tiene una copia del Registro de ntrada y Salida de Soportes y
se comprue#a 8ue en l se incluyenF
=os soportes incluidos en la relacin del punto anterior Jy
iceersaK
=os desplazamientos de soportes al almacenamiento
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
33/73
e/terior Jsi e/istieraK
*6. +Se %erifica 8ue el Registro de ntrada y Salida refleja la
informacin re8uerida por el ReglamentoF
aK $ec'a y 'ora
#K misorHReceptor
cK "V de soportes
dK Bipo de informacin contenida en el soporte.
eK $orma de en!o
fK Persona f!sica responsa#le de la recepcinHentrega
-7. +Se Analiza los procedimientos de actualizacin del Registro de
ntrada y Salida en relacin con el moimiento de soportes,
-*. +/isten controles para detectar la e/istencia de soportes
reci#idosHeniados 8ue no se inscri#en en el Registro de
ntradaHSalida,
--. +Se ?omprue#a& en el caso de 8ue el >nentario de Soportes yHo el
Registro de ntradaHSalida estn informatizados& 8ue se realizan
copias de seguridad de ellos& al menos& una ez a la semana,
-0. +Se realiza una relacin de soportes eniados fuera de la empresa con
la relacin de fic'eros de niel alto,
-1. +Se %erifica 8ue todos los soportes 8ue contiene fic'eros con datos de
niel Alto an cifrados,
-2. +Se ?ompro#ar la e/istencia& como parte del Documento de
Seguridad& de una relacin de usuarios con acceso autorizado a la
sala,
-3. +Se %erifica 8ue la inclusin del personal en la relacin anterior es
co'erente con las funciones 8ue tienen encomendadas,
-4. +Se ?omprue#a 8ue la relacin es lgica J+personal de limpieza,
+%igilantes de seguridad,K.
-5. +/isten pol!ticas de la instalacin en relacin con los accesos
ocasionales a la salaW
-6. +Se Determina 8ue personas tienen llaes de acceso& tarjetas& etc. de
acceso a la sala,g.
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
34/73
30. Se Comprueba que estn activados los parmetros de activacin del Registro
3#. Se !nali$an los procedimientos de descarga a cinta de este Registro de !ccesos %
3'. ()isten procedimientos de reali$acin de copias de seguridad del Registro de !cces
33. Se *erifca la asignacin de privilegios que permitan activar+desactivar el Regist
3,. Se Comprueba que el Registro de !ccesos se encuentra ba-o el control directo de
Auditoria Calidad9
ara %allar el SI
06 *77:
*2 ;
$ & >/='*
ara %allar el "O
06 *77:-1 ;; *=?>
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
35/73
AREAS CRTICAS DE LA AUDITORIA DE SE!URIDAD
Evaluaci6n de la se1uridad en el acceso al Siste5a
re1untas(()
E.celent
/()
0ue
*()
Re1ul
'()
M2ni
3()
"o
aluar los atri#utos de acceso al
sistema.
aluar los nieles de acceso al
sistema.
aluar la administracin
de contrase9as al sistema
aluar el monitoreo en el acceso al
sistema.
aluar las funciones del
administrador del acceso al sistema.
aluar las medidas preentias o
correctias en caso de siniestros n el
acceso.
Evaluaci6n de la se1uridad en el acceso al rea F2sica
re1untas (()
E.celent
/()
0ue
*()
Re1ul
'()
M2ni
3()
"o
aluar el acceso del personal al
centro de cmputo.
aluar el acceso de los usuarios y
terceros al centro de cmputo.
aluar el control de entradas y
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
36/73
salidas de #ienes inform)ticos del
centro de cmputo.
aluar la igilancia del centro de
cmputo.
aluar las medidas preentias o
correctias en caso de siniestro en el
centro de cmputo.
Analizar las pol!ticas de la
instalacin en relacin con los
accesos ocasionales a la sala.
Evaluaci6n de los 8lanes de contin1encias in
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
37/73
#ases de datos& soft(are e
informacin importante de la
organizacin.
aluar la configuracin&
instalaciones y seguridad del e8uipo
de cmputo& mo#iliario y dem)s
e8uipos.
aluar el rendimiento& aplicacin y
utilidad del e8uipo de cmputo&
mo#iliario y dem)s e8uipos.
aluar la seguridad en
el procesamiento de
aluar los procedimientos de
captura& procesamiento de datos y
emisin de resultados de los sistemas
computacionales.
Evaluaci6n de la 8rotecci6n contra la 8irater2a G robo de in
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
38/73
Evaluaci6n de la 8rotecci6n contra virus in
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
39/73
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
40/73
aluar las licencias permisos y usos
de los sistemas computacionales.
aluar el rendimiento y uso del
soft(are de los sistemas
computacionales.
%erificar 8ue la instalacin del
soft(are& pa8ueter!as y sistemas
desarrollados en la empresa sea la
adecuada para cu#rir las necesidades
de esta ultima.
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
41/73
I"FORME DE AUDITORIA
= Identi
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
42/73
*= Alcance de la auditoria
"uestra auditoria& comprende el presente periodo -771 y se 'a realizado especialmente al
)rea de >nform)tica de acuerdo a las normas y dem)s disposiciones aplica#le al efecto.
B= Conclusiones9
X ?omo resultado de la Auditoria de la Seguridad realizada al Municipio& por el per!odo
comprendido entre el 7* de Setiem#re al -1 de Diciem#re del -771& podemos
manifestar 8ue 'emos cumplido con ealuar cada uno de los o#jetios contenidos en el
programa de auditoria.
X l )rea de >nform)tica presenta deficiencias so#re todo en el de#ido cumplimiento de
sus funciones y por la falta de ellos.
/= Reco5endaciones
X la#orar toda la documentacin tcnica correspondiente a los sistemas implementados y
esta#lecer normas y procedimientos para los desarrollos y su actualizacin.
X aluar e implementar un soft(are 8ue permita mantener el resguardo de acceso de los
arc'ios de programas y aLn de los programadores.
X >mplementar y conserar todas las documentaciones de prue#a de los sistemas& como
as! tam#in las modificaciones y apro#aciones de programas realizadas por los usuarios
X l coste de la seguridad de#e considerarse como un coste m)s entre todos los 8ue sonnecesarios para desempe9ar la actiidad 8ue es el o#jeto de la e/istencia de la entidad&
sea sta la o#tencin de un #eneficio o la prestacin de un sericio pL#lico.
X l coste de la seguridad& como el coste de la calidad& son los costes de funciones
imprescindi#les para desarrollar la actiidad adecuadamente. @ por QadecuadamenteQ
de#e entenderse no slo un niel de calidad y precio 8ue 'aga competitio el sericio o
producto suministrado& sino tam#in un grado de garant!a de 8ue dic'os productos o
sericios an a seguir llegando a los usuarios en cual8uier circunstancia.
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
43/73
= Fec%a Del In= */=
O?
Desarrollo B3=B 33=
Manteni5ient B3 3/
0ase de Datos B=* 3(=
Calidad ??=? ''=
Se1uridad >/='* *=
Redes '3=/? ?B=
A8licacion ?'=?' '?='?
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
44/73
CO"CLUSI,"
Al realizar el anterior tra#ajo se inestigo acerca de todos los elementos 8ue componen =a
Municipalidad Proincial de Mariscal "ieto& tanto materiales como 'umanos& con lo anterior& sepuede dar uno cuenta auditar una institucin no es nada f)cil& ya 8ue si falla un elemento del 8ue secompone& trae consigo un efecto domino& 8ue 'ace 8ue los dem)s elementos #ajen su rendimiento&
o en el peor de los casos sean causantes del fracaso de la institucin.
s mentira 8ue lo m)s importante para una empresa sea el e8uipo inform)tico con el 8ue se tra#aja.l factor 'umano es lo mas importante& ya 8ue si se cuenta con tecnolog!a de punta& pero con
personal no calificado o en desacuerdo con el desarrollo del ?entro de ?omputo optara por
renunciar& o #ien por seguir rezagando al mismo Asimismo la capacitacin es important!sima& ya
8ue si no 'ay capacitacin permanente& el personal tcnico de la empresa decide a#andonarla para#uscar nueos 'orizontes y mayor oportunidad& aun sacrificando el aspecto econmico.
l aspecto organizatio tam#in de#e estar perfectamente estructurado& y las l!neas de mando de#en
estar #ien definidas& eitando de esta manera la rotacin innecesaria de personal& la duplicidad defunciones& las l!neas alternas demando& etc. y 8ue conllean al des8uiciamiento de la estructura
organizacional.
a#lando de seguridad& es indispensa#le el aseguramiento del e8uipo y de las instalaciones& as!como de la informacin& el control de los accesos tam#in es punto fundamental para eitar las
fugas de informacin o manipulacin inde#ida de esta.
l Departamento de inform)tica es la parte medular de la empresa& es en donde los datos se
conierten en informacin Ltil a las diferentes )reas& es donde se guarda esta informacin y por
consecuencia& donde en la mayor!a de los casos se toman las decisiones importantes para laempresa.
Adem)s al realizar la presente auditoria nos damos cuenta 8ue dentro del am#iente empresarial es
de ital importancia contar con la informacin lo m)s aliosa 8ue sea& a tiempo& de forma oportuna&clara& precisa y con cero errores para 8ue se constituya en una 'erramienta poderosa para la toma de
decisiones& indose reflejada en la o#tencin de resultados #enficos a los fines de la organizacin
y justificar el e/istir de toda la organizacin o empresa.
?omo resultado de la Auditoria >nform)tica realizada a la Municipalidad Proincial de Mariscal
"ieto& por el per!odo comprendido entre el 7* de Setiem#re al -6 de Diciem#re del -771& podemos
manifestar 8ue 'emos cumplido con ealuar cada uno de los o#jetios contenidos en el programa de
auditoria.
l )rea de >nform)tica presenta deficiencias enF n
su Seguridad
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
45/73
n el )rea $!sica
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
46/73
n de Redes
@ en el de#ido cumplimiento de sus funciones.
Podremos estar tran8uilos y seguros 8ue nuestra funcin de auditores est) funcionando como sede#e& y sa#er 8ue cuando se siguen estos lineamientos se o#tendr)n sistemas 8ue no an a necesitar
mantenimiento e/cesio& 8ue el cmputo a a ser parte de la solucin y no parte del pro#lema&
como lo es 'oy en d!a.
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
47/73
In
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
48/73
Atenta5ente=
ORLA"DO JIMM MAMA"I OMAMIC@ELLA ARO@UA"CA A=NILL MAMA"I CUTIA CARME"UIPO"EQ MATA MADELEI"EMUPOQ ORTE!A "ELSSOCO@UA"CA TURO
A= Or1aniaci6n G Ad5inistraci6n del reaA== Co5it G lan In
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
49/73
cantidad de soluciones 7ue 8ueden i58le5entarse en tie58o G
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
50/73
0= Se1uridad F2sica L61ica0== Entorno !eneral
a= Situaci6n
Durante nuestra revisi6n %e5os observado lo si1uiente9
"o e.iste una vi1ilancia estricta del rea de In
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
51/73
100AUDITORIA DE SISTEMAS
b= E
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
52/73
Los usuarios de
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
53/73
res8onsables de cada siste5a= E
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
54/73
Al5acena5iento9 >? !0 de ( RM Cone.i6n9 Et%ernet (#((Es un e7ui8a5iento ideal 8ara las
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
55/73
A"E$OS
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
56/73
Encuesta
*. +l )rea cumple con las funciones asignadas en el MO$ de la >nstitucin,-. +?u)ntas personas la#oran en el centro de cmputo,
=a#oran 1 Personas.
0. +?onsidera 8ue el )rea de tra#ajo es la adecuada o apropiada para el desempe9o de sus la#ores,
1. +?onsidera 8ue es adecuado el nLmero de personas 8ue la#oran en el )rea,
2. +Se deja de realizar alguna actiidad por falta de personal,
3. +sta el personal 8ue utiliza el computador educado en las necesidades de seguridad,
4. ?on respecto a la parte f!sica de la O?>Y +se cumple con las normas de seguridad esta#lecidas
para los e8uipos de cmputo,
5. +sta el )rea del computador li#re de material com#usti#le& como suministro de papel en e/ceso
de las necesidades inmediatas,
6. +/iste en la O?> e/tinguidores de incendio claramente identificados para lo 8ue uso se refiere,
*7. So#re el mantenimiento del e8uipoY +cuenta con las 'erramientas necesarias para #rindar un
#uen sericio en el momento re8uerido,
**. +l )rea cuenta con un respectio plan de contingencias,
*-. Si cuenta con un plan de contingencias +Se 'an identificado las aplicaciones itales para
operacin del )rea,
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
57/73
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
58/73
CO"SEJOS
*. Utiliza un #uen antiirus y actual!zalo frecuentemente.-. ?omprue#a 8ue tu antiirus incluye soporte tcnico& resolucin urgente de nueos irus y
sericios de alerta.
0. AsegLrate de 8ue tu antiirus est siempre actio.
1. %erifica& antes de a#rir& cada nueo mensaje de correo electrnico reci#ido.
2. ita la descarga de programas de lugares no seguros en >nternet.
3. Rec'aza arc'ios 8ue no 'ayas solicitado cuando ests en c'ats o grupos de noticias Jne(sK
4. Analiza siempre con un #uen antiirus los dis8uetes 8ue ayas a usar en tu ordenador.
5. Retira los dis8uetes de las dis8ueteras al apagar o reiniciar tu ordenador.6. Analiza el contenido de los arc'ios comprimidos.
*7. Mantente alerta ante acciones sospec'osas de posi#les irus.
**. A9ade las opciones de seguridad de las aplicaciones 8ue usas normalmente a tu pol!tica de
proteccin antiirus.
*-. Realiza peridicamente copias de seguridad.
*0. Mantente informado.
*1. Utiliza siempre soft(are legal.
*2. /ige a los fa#ricantes de soft(are& proeedores de acceso a >nternet y editores de
pu#licaciones& 8ue se impli8uen en la luc'a contra los irus.
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
59/73
OLTICAS E" I"FORMTICA ROUESTA
TITULO I
DISOSICIO"ES !E"ERALES
ARB>?U=O *Z.E l presente ordenamiento tiene por o# jeto estandarizar y contri#uir al desarrollo
inform)tico de las diferentes unidades administratias de la mpresa "". ARB>?U=O -Z.E Para los
efectos de este instrumento se entender) porF
?omitF Al e8uipo integrado por la Direccin & Su#direccin& los Cefes departamentales y el
personal administratio de las diferentes unidades administratias JOcasionalmenteK conocado
para fines espec!ficos comoF
Ad8uisiciones de ard(are y soft(are
sta#lecimiento de est)ndares de la mpresa "" tanto de 'ard(are como de soft(are
sta#lecimiento de la Ar8uitectura tecnolgica de grupo.
sta#lecimiento de lineamientos para concursos de ofertas
Ad5inistraci6n de Innform)tica
Definir estrategias y o#jetios a corto& mediano y largo plazo
Mantener la Ar8uitectura tecnolgica
?ontrolar la calidad del sericio #rindado Mantener el >nentario actualizado de los recursos inform)ticos
%elar por el cumplimiento de las Pol!ticas y Procedimientos esta#lecidos.
ARB>?U=O 0Z.E Para los efectos de este documento& s e entiende por Pol!ticas en >nform)tica& al
conjunto de reglas o#ligatorias& 8ue de#en o#serar los Cefes de Sistemas
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
60/73
responsa#les del 'ard(are y soft(are e/istente en la mpresa ""& siendo responsa#ilidad de la
Administracin de >nform)tica& igilar su estricta o#serancia en el
)m#ito de su competencia& tomando las medidas preentias y correctias para 8ue se cumplan.
ARB>?U=O 1Z.E =as Pol!ticas en >nform)tica son el conjunto de ordenamientos y lineamientos
enmarcados en el )m#ito jur!dico y administratio de la mpresa "". stas normas inciden en la
ad8uisicin y el uso de los ienes y Sericios >nform)ticos en la mpresa ""& las cuales se de#er)n
de acatar inaria#lemente& por a8uellas instancias 8ue interengan directa yHo indirectamente en
ello.
ARB>?U=O 2Z.E =a instancia rectora de los sistemas de inform)tica de la mpresa "" es la
Administracin& y el organismo competente para la aplicacin de este ordenamiento& es el ?omit.
ARB>?U=O 3Z.E =as presentes Pol!ticas a8u! contenid as& son de o#serancia para la ad8uisicin y
uso de #ienes y sericios inform)ticos& en la mpresa ""& cuyo incumplimiento generar) 8ue se
incurra en responsa#ilidad administratiaY sujet)ndose a lo dispuesto en la seccin
Responsa#ilidades Administratias de Sistemas.
ARB>?U=O 4Z.E =as empresas de la mpresa "" de#er)n contar con un Cefe o responsa#le del
Area de Sistemas& en el 8ue recaiga la administracin de los ienes y Sericios& 8ue igilar) la
correcta aplicacin de los ordenamientos esta#lecidos por el ?omit y dem)s disposiciones
aplica#les.
TITULO II
LI"EAMIE"TOS ARA LA ADUISICIO" DE 0IE"ES DE I"FORMATICA
ARB>?U=O 5Z.E Boda ad8uisicin de tecnolog!a inform )tica se efectLa a tras del ?omit& 8ue
est) conformado por el personal de la Administracin de >nform)tica y ?U=O 6Z.E =a ad8uisicin de ienes de >nform)ti ca en la mpresa ""& 8uedar) sujeta a los
lineamientos esta#lecidos en este documento.
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
61/73
110AUDITORIA DE SISTEMAS
ARB>?U=O *7Z.E =a Administracin de >nform)tica& al planear las operaciones relatias a la
ad8uisicin de ienes inform)ticos& esta#lecer) prioridades y en su seleccin de#er) tomar en
cuentaF estudio tcnico& precio& calidad& e/periencia& desarrollo tecnolgico& est)ndares y capacidad&
entendindose porF
Precio.E ?osto inicial& costo de mantenimiento y consumi#les por el per!odo estimado de
uso de los e8uiposY
?alidad.E Par)metro cualitatio 8ue especifica las caracter!sticas tcnicas de los recursos
inform)ticos.
/periencia.E Presencia en el mercado nacional e internacional& estructura de sericio& la
confia#ilidad de los #ienes y certificados de calidad con los 8ue se cuenteY
Desarrollo Becnolgico.E Se de#er) analizar su grado de o#solescencia& su niel tecnolgico
con respecto a la oferta e/istente y su permanencia en el mercadoY
st)ndares.E Boda ad8uisicin se #asa en los est)ndares& es decir la ar8uitectura de grupo
empresarial esta#lecida por el ?omit. sta ar8uitectura tiene una permanencia m!nima de
dos a cinco a9os.
?apacidades.E Se de#er) analizar si satisface la demanda actual con un margen de 'olgura y
capacidad de crecimiento para soportar la carga de tra#ajo del )rea.
ARB>?U=O **Z.E Para la ad8uisicin de ard(are se o #serar) lo siguienteF
aK l e8uipo 8ue se desee ad8uirir de#er) estar dentro de las listas de entas igentes de los fa#ricantes
yHo distri#uidores del mismo y dentro de los est)ndares de la mpresa "".
#K De#er)n tener un a9o de garant!a como m!nimo
cK De#er)n ser e8uipos integrados de f)#rica o ensam#lados con componentes preiamente ealuados
por el ?omit.
dK =a marca de los e8uipos o componentes de#er) contar con presencia y permanencia demostrada enel mercado nacional e internacional& as! como con asistencia tcnica y refaccionaria local.
eK Brat)ndose de e8uipos microcomputadoras& a fin de mantener actualizado la ar8uitectura
inform)tico de la mpresa ""& el ?omit emitir) peridicamente las especificaciones tcnicas
m!nimas para su ad8uisicin.
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
62/73
fK =os dispositios de almacenamiento& as! como las interfaces de entradaHsalida& de#er)n estar acordes
con la tecnolog!a de punta igente& tanto en elocidad de transferencia de datos& como en el ciclo
del proceso.
gK =as impresoras de#er)n apegarse a los est)ndares de ard(are y Soft(are igentes en el mercado yla mpresa ""& corro#orando 8ue los suministros Jcintas& papel& etc.K se consigan f)cilmente en el
mercado y no estn sujetas a un solo proeedor.
'K ?onjuntamente con los e8uipos& se de#er) ad8uirir el e8uipo complementario adecuado para su
correcto funcionamiento de acuerdo con las especificaciones de los fa#ricantes& y 8ue esta
ad8uisicin se manifieste en el costo de la partida inicial.
iK=os e8uipos complementarios de#er)n tener una garant!a m!nima de un a9o y de#er)n contar con el
sericio tcnico correspondiente en el pa!s.jK=os e8uipos ad8uiridos de#en contar& de preferencia con asistencia tcnica durante la instalacin de
los mismos.
[K n lo 8ue se refiere a los computadores denominados seridores& e8uipo de comunicaciones como
enrutadores y concentradores de medios& y otros 8ue se justifi8uen por ser de operacin cr!tica yHo
de alto costoY al encer su per!odo de garant!a& de#en de contar con un programa de mantenimiento
preentio y correctio 8ue incluya el suministro de refacciones.
lKn lo 8ue se refiere a los computadores denominados personales& al encer su garant!a por
ad8uisicin& de#en de contar por lo menos con un programa de sericio de mantenimientocorrectio 8ue incluya el suministro de refacciones.
Bodo proyecto de ad8uisicin de #ienes de inform)tica& de#e sujetarse al an)lisis& apro#acin y
autorizacin del ?omit.
ARB>?U=O *-ZF n la ad8uisicin de 8uipo de cmput o se de#er) incluir el Soft(are igente
precargado con su licencia correspondiente considerando las disposiciones del art!culo siguiente.
ARB>?U=O *0Z.E Para la ad8uisicin de Soft(are #ase y utilitarios& el ?omit dar) a conocer
peridicamente las tendencias con tecnolog!a de punta igente& siendo la lista de productos
autorizados la siguienteF
a. Plataformas de Sistemas OperatiosF
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
63/73
MSEDOS& MSE Tindo(s 62 spa9ol& Tindo(s "B& "oell "et(are& Uni/JAutomotrizK.
#. ases de DatosF
$o/pro& >nformi/
c. Manejadores de #ases de datosF
$o/pro para DOS& %isual$o/& Access
d. =enguajes de programacinF
=os lenguajes de programacin 8ue se utilicen de#en ser compati#les con las plataformas enlistadas.
SI= Tindo(s
%isual asic%isual$o/
?enturaTe#
"otes Designer
e. ojas de c)lculoF
/cel
f. Procesadores de pala#rasF
Tord
g. Dise9o
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
64/73
n la generalidad de los casos& slo se ad8uirir)n las Lltimas ersiones li#eradas de los productos
seleccionados& salo situaciones espec!ficas 8ue se de#er)n justificar ante el ?omit. Bodos los
productos de Soft(are 8ue se ad8uieran de#er)n contar con su licencia de uso& documentacin y
garant!a respectias.
ARB>?U=O *1Z.E Bodos los productos de Soft(are 8ue se utilicen a partir de la fec'a en 8ue entre
en igor el presente ordenamiento& de#er)n contar con su licencia de uso respectiaY por lo 8ue se
promoer) la regularizacin o eliminacin de los productos ya instalados 8ue no cuenten con la
licencia respectia.
ARB>?U=O *2Z.E Para la operacin del soft(are de re d se de#e tener en consideracin lo siguienteF
aKBoda la informacin institucional de#e inaria#lemente ser operada a tras de un mismo tipo de
sistema manejador de #ase de datos para #eneficiarse de los mecanismos de integridad& seguridad y
recuperacin de informacin en caso de falla del sistema de cmputo.
#Kl acceso a los sistemas de informacin& de#e contar con los priilegios nieles de seguridad de
acceso suficientes para garantizar la seguridad total de la informacin institucional. =os nieles de
seguridad de acceso de#er)n controlarse por un administrador Lnico y poder ser manipulado por
soft(are. Se de#en delimitar las responsa#ilidades en cuanto a 8uin est) autorizado a consultar yHo
modificar en cada caso la informacin& tomando las medidas de seguridad pertinentes para cada
caso.
cKl titular de la unidad administratia responsa#le del sistema de informacin de#e autorizar y
solicitar la asignacin de clae de acceso al titular de la Unidad de >nform)tica.
dK=os datos de los sistemas de informacin& de#en ser respaldados de acuerdo a la frecuencia de
actualizacin de sus datos& rotando los dispositios de respaldo y guardando respaldos 'istricos
peridicamente. s indispensa#le llear una #it)cora oficial de los respaldos realizados& asimismo&
las cintas de respaldo de#er)n guardarse en un lugar de acceso restringido con condiciones
am#ientales suficientes para garantizar su conseracin. Detalle e/plicatio se aprecia en la Pol!tica
de respaldos en igencia.
eKn cuanto a la informacin de los e8uipos de cmputo personales& la Unidad de >nform)tica
recomienda a los usuarios 8ue realicen sus propios respaldos en la red o en medios de
almacenamiento alternos.
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
65/73
fK Bodos los sistemas de informacin 8ue se tengan en operacin& de#en contar con sus respectios
manuales actualizados. Uno tcnico 8ue descri#a la estructura interna del sistema as! como los
programas&
cat)logos y arc'ios 8ue lo conforman y otro 8ue descri#a a los usuarios del sistema& los
procedimientos para su utilizacin.
'K =os sistemas de informacin& de#en contemplar el registro 'istrico de las transacciones so#re
datos releantes& as! como la clae del usuario y fec'a en 8ue se realiz J"ormas )sicas de
Auditor!a y ?ontrolK.
i KSe de#en implantar rutinas peridicas de auditor!a a la integridad de los datos y de los programas
de cmputo& para garantizar su confia#ilidad.
ARB>?U=O *3Z.E Para la contratacin del sericio de desarrollo o construccin de Soft(are
aplicatio se o#serar) lo siguienteF
Bodo proyecto de contratacin de desarrollo o construccin de soft(are re8uiere de un estudio de
facti#ilidad 8ue permita esta#lecer la renta#ilidad del proyecto as! como los #eneficios 8ue se
o#tendr)n del mismo.
Bodo proyecto de#er) ser apro#ado por el ?omit en #ase a un informe tcnico 8ue contenga lo
siguienteF
ases del concurso JRe8uerimientos claramente especificadosK
An)lisis de ofertas JBres oferentes como m!nimoK y Seleccin de oferta ganadora
0ases del Concurso
=as #ases del concurso especifican claramente los o#jetios del tra#ajo& delimita las
responsa#ilidades de la empresa oferente y la contratante.
De las e58resas odentidad del o los representantes de la compa9!a
#. ?opia de los nom#ramientos actualizados de los representantes legales de la compa9!a
c. ?opia de los statutos de la empresa& en 8ue aparezca claramente definido el o#jeto de la
compa9!a& esto es para determinar si est) o no facultada para realizar la o#ra
d. ?opia del RU? de la compa9!a
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
66/73
e. Referencias de clientes JM!nimo 0K
f. =a carta con la oferta definitia del contratista de#e estar firmada por el representante legal
de la compa9!a oferente.
De la contratante
=as responsa#ilidades de la contratante sonF
a. Delinear adecuadamente los o#jetios y alcance del aplicatio.
#. sta#lecer los re8uerimientos del aplicatio
c. Definir responsa#ilidades de la contratista y contratante
d. sta#lecer campos de accin
An4lisis de o
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
67/73
a. Una garant!a #ancaria o una pliza de seguros& incondicional& irreoca#le y de co#ro
inmediato por el 2: del monto total del contrato para asegurar su fiel cumplimiento& la cual
se mantendr) igente durante todo el tiempo 8ue su#sista la o#ligacin motio de la
garant!a.
#. Una garant!a #ancaria o una pliza de seguros& incondicional& irreoca#le y de co#ro
inmediato e8uialente al *77 : Jciento por cientoK del anticipo. sta garant!a se deoler)
en su integridad una ez 8ue el anticipo se 'aya amortizado en la forma de pago estipulada
en el contrato.
c. Un fondo de garant!a 8ue ser) retenido de cada planilla en un porcentaje del 2 :. Cunto al
contrato se de#er) mantener la 'istoria respectia del mismo 8ue se compone de la siguiente
documentacin soporteF studio de facti#ilidad
ases del concurso
Ofertas presentadas
Acta de aceptacin de oferta firmada por los integrantes del ?omit
>nformes de fiscalizacin
Acta de entrega proisional y definitia
TITULO III
I"STALACIO"ES
ARB>?U=O *4Z.E =a instalacin del e8uipo de cmputo & 8uedar) sujeta a los siguientes
lineamientosF
aK=os e8uipos para uso interno se instalar)n en lugares adecuados& lejos de polo y tr)fico de personas.
n las )reas de atencin directa al pL#lico los e8uipos se instalar)n en lugares adecuados.
#K =a Administracin de >nform)tica& as! como las )reas operatias de#er)n contar con un cro8uis
actualizado de las instalaciones elctricas y de comunicaciones del e8uipo de cmputo en red.
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
68/73
cK=as instalaciones elctricas y de comunicaciones& estar)n de preferencia fijas o en su defecto
resguardadas del paso de personas o m)8uinas& y li#res de cual8uier interferencia elctrica o
magntica.
dK =as instalaciones se apegar)n estrictamente a los re8uerimientos de los e8uipos& cuidando lasespecificaciones del ca#leado y de los circuitos de proteccin necesariosY
eK n ningLn caso se permitir)n instalaciones improisadas o so#recargadas.
fK?uando en la instalacin se alimenten eleadores& motores y ma8uinaria pesada& se de#er) tener un
circuito independiente& e/clusio para el e8uipo yHo red de cmputo.
ARB>?U=O *5Z.E =a superisin y control de las inst alaciones se llear) a ca#o en los plazos y
mediante los mecanismos 8ue esta#lezca el ?omit.
TITULO I+
LI"EAMIE"TOS E"
I"FORMATICA CAITULO I
I"FORMACIO"
ARB>?U=O *6Z.E =os arc'ios magnticos de informaci n se de#er)n inentariar& ane/ando la
descripcin y las especificaciones de los mismos& clasificando la informacin en tres categor!asF
*. >nformacin 'istrica para auditor!as
-. >nformacin de inters de la mpresa ""
0. >nformacin de inters e/clusio de algLn )rea en particular.
ARB>?U=O -7Z.E =os jefes de sistemas responsa#les d el e8uipo de cmputo y de la informacin
contenida en los centros de cmputo a su cargo& delimitar)n las responsa#ilidades de sus
su#ordinados y determinar)n 8uien est) autorizado a efectuar operaciones emergentes con dic'a
informacin tomando las medidas de seguridad pertinentes.
ARB>?U=O -*Z.E Se esta#lecen tres tipos de priorida d para la informacinF
*. >nformacin ital para el funcionamiento de la unidad administratiaY
-. >nformacin necesaria& pero no indispensa#le en la unidad administratiaY
0. >nformacin ocasional o eentual.
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
69/73
ARB>?U=O --Z.E n caso de informacin ital para el funcionamiento de la unidad administratia&
se de#er)n tener procesos concomitantes& as! como tener el respaldo diario de las modificaciones
efectuadas& rotando los dispositios de respaldo y guardando respaldos 'istricos semanalmente.
ARB>?U=O -0Z.E =a informacin necesaria pero no ind ispensa#le& de#er) ser respaldada con unafrecuencia m!nima de una semana& rotando los dispositios de respaldo y guardando respaldos
'istricos mensualmente.
ARB>?U=O -1Z.E l respaldo de la informacin ocasio nal o eentual 8ueda a criterio de la unidad
administratia.
ARB>?U=O -2Z.E =os arc'ios magnticos de informaci n& de car)cter 'istrico 8uedar)n
documentados como actios de la unidad acadmica y estar)n de#idamente resguardados en su
lugar de almacenamiento.
s o#ligacin del responsa#le del e8uipo de cmputo& la entrega coneniente de los arc'iosmagnticos de informacin& a 8uien le suceda en el cargo.
ARB>?U=O -3Z.E =os sistemas de informacin en opera cin& como los 8ue se desarrollen de#er)n
contar con sus respectios manuales. Un manual del usuario 8ue descri#a los procedimientos de
operacin y el manual tcnico 8ue descri#a su estructura interna& programas& cat)logos y arc'ios.
CAITULO II
FU"CIO"AMIE"T
O
ARB>?U=O -4Z.E s o#ligacin de la Administracin d e >nform)tica igilar 8ue el e8uipo de
cmputo se use #ajo las condiciones especificadas por el proeedor y de acuerdo a las funciones del
)rea a la 8ue se asigne.
ARB>?U=O -5Z.E =os cola#oradores de la empresa al u sar el e8uipo de cmputo& se a#stendr)n de
consumir alimentos& fumar o realizar actos 8ue perjudi8uen el funcionamiento del mismo o
deterioren la informacin almacenada en medios magnticos& pticos& etc.
ARB>?U=O -6Z.E Por seguridad de los recursos inform )ticos se de#en esta#lecer seguridadesF
$!sicas
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
70/73
Sistema Operatio
Soft(are
?omunicaciones
ase de Datos Proceso
Aplicaciones
Por ello se esta#lecen los siguientes lineamientosF
Mantener claes de acceso 8ue permitan el uso solamente al personal autorizado para ello.
%erificar la informacin 8ue proenga de fuentes e/ternas a fin de corro#orar 8ue estn
li#res de cual8uier agente e/terno 8ue pueda contaminarla o perjudi8ue el funcionamiento
de los e8uipos.
Mantener plizas de seguros de los recursos inform)ticos en funcionamiento
ARB>?U=O 07Z.E n ningLn caso se autorizar) la util izacin de dispositios ajenos a los procesos
inform)ticos de la unidad administratia.
Por consiguiente& se pro'i#e el ingreso yHo instalacin de 'ard(are y soft(are particular& es decir
8ue no sea propiedad de una unidad administratia de la mpresa ""& e/cepto en casos emergentes
8ue la Direccin autorice.
CAITULO III
LA" DE CO"TI"!E"CIAS
ARB>?U=O 0*Z.E =a Administracin de >nform)tica cre ar) para las empresas y departamentos un
plan de contingencias inform)ticas 8ue incluya al menos los siguientes puntosF
aK ?ontinuar con la operacin de la unidad administratia con procedimientos inform)ticos alternosY
#K Bener los respaldos de informacin en un lugar seguro& fuera del lugar en el 8ue se encuentran los
e8uipos.cK Bener el apoyo por medios magnticos o en forma documental& de las operaciones necesarias para
reconstruir los arc'ios da9adosY
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
71/73
120AUDITORIA DE SISTEMAS
dK ?ontar con un instructio de operacin para la deteccin de posi#les fallas& para 8ue toda accin
correctia se efectLe con la m!nima degradacin posi#le de los datosY
eK ?ontar con un directorio del personal interno y del personal e/terno de soporte& al cual se pueda
recurrir en el momento en 8ue se detecte cual8uier anomal!aYfK jecutar prue#as de la funcionalidad del plan
fK Mantener reisiones del plan a fin de efectuar las actualizantes respectias
CAITULO I+
ESTRATE!IAS
ARB>?U=O 0-.E =a estrategia inform)tica de la DDB se consolida en el Plan Maestro de
>nform)tica y est) orientada 'acia los siguientes puntosF
aK Plataforma de Sistemas A#iertosY
#K Descentralizacin del proceso de informacin
cK s8uemas de operacin #ajo el concepto clienteHseridor
dK standarizacin de 'ard(are& soft(are #ase& utilitarios y estructuras de datos
eK >ntercomunicacin entre unidades y e8uipos mediante protocolos est)ndares
fK >ntercam#io de e/periencias entre Departamentos de >nform)tica.
gK Manejo de proyectos conjuntos con las diferentes unidades administratias.
'K Programa de capacitacin permanente para los cola#oradores de la empresa del )rea de inform)tica
iK>ntegracin de sistemas y #ases de datos de la mpresa ""& para tener como meta final un Sistema
>ntegral de >nformacin ?orporatio.
jKProgramacin con ayudas isuales e interactias. $acilitando interfases amiga#les al usuario final.
[K >ntegracin de sistemas teleinform)ticos J>ntranet De grupo empresarialK.
ARB>?U=O 00Z.E Para la ela#oracin de los proyectos inform)ticos y para la presupuestacin de los
mismos& se tomar)n en cuentan tanto las necesidades de 'ard(are y soft(are de la unidad
administratia solicitante& como la disponi#ilidad de recursos con 8ue stas cuenten.
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
72/73
DISOSICIO"ES TRA"SITORIAS
ARB>?U=O PR>MRO.E =as disposiciones a8u! enmarcadas& entrar)n en igor a partir del d!a
siguiente de su difusin.
ARB>?U=O S
-
7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)
73/73
0iblio1raBOR>A >"$ORMAB>?A. Un enfo8ue pr)ctico
Mario Piatini N milio del Peso d. Rama
AUD>BOR>A D =OS S>SBMAS D >"$ORMA?>\" Rafael
ernal y \scar ?oltell N Uni. Politcnica de %alencia
http://www.audinet.org/http://www.sans.org/http://www.sans.org/http://www.audinet.org/